HOWTO: 为现有设备添加 Windows Autopilot 配置支持
HOWTO: 为现有设备添加 Windows Autopilot 配置支持
回顾:
“HOWTO: 收集 DeviceID 用于测试 Windows Autopilot”
"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"
"HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组"
"HOWTO: 在 Intune 中创建 Windows Autopilot 配置文件"
"HOWTO: 使用 Intune 部署 Microsoft Edge"
Windows Autopilot 为组织提供了一种将原始的未接触过的 Windows 10 设备直接交付给最终用户的方法。在 Windows 10 1809或更高版本上提供了适用于现有设备的 Windows Autopilot。使用这个功能我们可以为那些从 Windows 7 升级而来的 Windows 10 设备提供 用户驱动模式(User Driven Mode)的 Windows Autopilot 支持。
其流程就是从 Intune 中获取 Windows Autopilot 的配置文件,并预先将该配置文件部署到这些设备上,在进入 Windows 10 OOBE 阶段会自动加载 Windows Autopilot 配置文件从而启动对应的部署过程。
首先,我们要在一台 Windows 设备上安装相应的 PowerShell 模块,它们是 AzureAD 以及 WindowsAutopilotIntune 模块,请以管理员权限打开 PowerShell,并执行以下命令:
以上模块安装完毕后,导入 WindowsAutoPilotIntune 模块,即:
然后执行“connect-msgraph”连接并进行身份验证。
如果登录成功,则会看到当前的账户和对应的 TenantID。
使用“get-autopilotprofile”可以获取到已经创建过的 Windows Autopilot 配置文件。
要使用这些配置文件,需要将其转换为 JSON 格式,为此执行命令:
之后会看到转换后的格式呢容,将 {} 段落间的内容全部复制,然后打开记事本程序,将内容粘贴进去,在保存时务必使用“ANSI”编码,且文件名必须是“autopilotconfigurationfile.json”。
如果想简便也可以执行使用 PowerShell 实现转换并保存为 JSON 文件,参考如下:
当获取到要使用的 Windows Autopilot 的配置文件(AutoPilotConfigurationFile.json)后,将其部署到目标设备的指定目录下,当进入 OOBE 阶段时便会应用该目录下的 Windows Autopilot 配置文件。
注意:如果现有设备已经注册到 Windows Autopilot,则分配的配置文件优先,仅当在线配置文件超时时,“适用于现有设备的 Windows Autopilot”配置文件才适用。
参考文档:
https://docs.microsoft.com/en-us/configmgr/osd/deploy-use/windows-autopilot-for-existing-devices
https://docs.microsoft.com/en-us/windows/deployment/windows-autopilot/existing-devices
HOWTO: 使用 Intune 部署 Microsoft Edge
HOWTO: 使用 Intune 部署 Microsoft Edge
Microsoft Edge Beta 已经发布一段事件,除了微软以外,很多企业也都开始对这个全新的微软浏览器进行评估,如果您的企业正好在使用 Intune,并打算部署基于 Chromium 的 Microsoft Edge,那就不要错过 gOxiA 今天的分享。
Microsoft Edge 默认是基于云安装的,如果要在企业内部部署,则需要先获取到脱机安装包,为此我们可以访问如下网址下载适用于 Windows 的 64 位 MSI 安装包,此外还提供了 32 位 以及 macOS 的脱机安装包。
https://www.microsoftedgeinsider.com/zh-cn/enterprise
拿到 MSI 安装包后,便可以通过 Intune 进行部署,在“客户端应用 - 应用”下“添加”新应用。
在“应用类型”中选择“业务线应用”。
然后通过“应用包文件”选取刚才下载的 Microsoft Edge 的 MSI 安装包。
在“应用信息”配置中,输入必填的信息然后“确定”,待 MSI 安装包上传完毕后才能进行后续的配置,例如:分配应用。
分配应用则是指定该应用适用于哪些组,这里 gOxiA 将分配类型改为“必需”安装,并分配给了所有用户和设备。
接下来就等待同步生效了,当设备获取到 Intune 下发的应用时便会自动静默安装,如果用户安装有 Intune 的公司门户,也可以由此处选择安装。
参考资料:https://docs.microsoft.com/en-us/intune/apps/apps-win32-app-management
Microsoft Intune 公开预览 DFCI
Microsoft Intune 公开预览 DFCI
微软最近在 Microsoft Intune 上公开发布了 DFCI 预览,即提供了对 Device Firmware Configuration Interface(DFCI - 设备固件配置接口)的支持,也就是说企业 IT 人员可以通过 Intune 来管理设备的 UEFI(BIOS) 配置,既然能配置 UEFI 也就意味着可以设置设备端口的开启或关闭,例如 USB 端口,摄像头等等。
在过去如果我们要为用户设备配置 UEFI 必须接触到设备,或者使用厂商提供的脚本或工具,在为一些驻外的用户进行配置时多半还是要购买当地的上门服务进行设置,成本较高。
而现在通过 Intune 的价值则体现为零接触自动化为用户设备配置 UEFI,由于脱离了系统层,即使用户重装系统也仍会保留配置,使 DFCI 管理不会被覆盖。
DFCI 目前支持管理 Windows 10 RS5(1809)及以上版本的系统,设备制造商还必须在固件上提供 DHCI 的支持,目前已知微软最新发布的 Surface 均支持 DFCI,这些型号包含了:Surface Pro X,Surface Pro 7 以及 Surface Latop 3。
此外还有一些限制,设备必须由 CSP或 OEM 注册到 Windows Autopilot,如果您参考 gOxiA 之前发布的“HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune”来注册设备可能不受支持,因为 gOxiA 尚未拿到新款 Surface 暂无法进行验证。
DFCI 目前还处于预览版阶段,如果您在 Intune 的配置文件没有找到“设备固件配置接口”,那么还需要等待一段时间,DFCI 功能可能还没有在当前 Intune 所在区域生效。此外,DFCI 目前提供的可用配置也是有限的,具体如下:
- 允许本地用户更改UEFI设置
- CPU 和 IO 虚拟化
- 相机
- 麦克风和扬声器
- 无线电(蓝牙、Wi-Fi 和 NFC)
- 通过外部媒体(USB 和 SD)启动
- 通过网络适配器启动
长期从事企业 IT 桌面标准化管理的 ITer 会留意到,在上述的配置中缺少对端口的颗粒化配置管理,例如带有前后置摄像头的设备无法单独进行配置,也没有对多 USB 端口的单一配置支持,而无线电方面也仅仅是统一关闭或开启 Wi-Fi,蓝牙 和 NFC,也不支持单一配置,但这些需求却都是在企业实际环境中切切实实存在的,相信微软在微软会不断改进和完善 DFCI。
有关更加详细的资讯可参考 Microsoft Docs:https://docs.microsoft.com/zh-cn/intune/configuration/device-firmware-configuration-interface-windows/?WT.mc_id=M365-MVP-4000544
